AI & Copilot · Governance
Als AI Governance Partner für Microsoft Copilot und Foundry bringen wir Ihre AI-Use-Cases in einen belastbaren Governance-Rahmen — ohne Ihren Tagesbetrieb zu lähmen. Der EU AI Act ist keine Drohkulisse mehr: Schulungspflicht nach Artikel 4 seit Februar 2025, vollständiger Bußgeldrahmen bis zu 35 Mio. € oder 7 % des Jahresumsatzes seit August 2026 wirksam.
Was die EU verlangt
Die EU-Verordnung 2024/1689 — bekannt als EU AI Act — ordnet jeden Einsatz künstlicher Intelligenz in eine von vier Risikoklassen ein. Daraus leiten sich konkrete Pflichten ab. Wir helfen, jeden Ihrer AI-Use-Cases korrekt einzuordnen.
Bestimmte Praktiken sind unzulässig — etwa Social-Scoring durch Behörden, manipulative Systeme, ungezielte biometrische Massenerfassung. Wer solche Systeme einsetzt, riskiert die höchsten Bußgelder. Solche Use Cases nehmen wir gar nicht erst an.
HR-Vorauswahl, Bonitätsprüfung, biometrische Identifikation, kritische Infrastruktur, Bildungs-Bewertung. Strenge Anforderungen: Konformitätsbewertung, Risiko-Management, technische Dokumentation, kontinuierliche Überwachung. Hier braucht es spezialisierte juristische Begleitung — wir vermitteln aus unserem Partner-Netzwerk.
Chatbots, Deep-Fakes, Emotionserkennung, generative KI mit Außenwirkung. Pflicht: Transparenz gegenüber Nutzern. Hierhin fällt typischerweise ein Großteil der Copilot-Studio-Agenten. Die Pflicht ist erfüllbar — aber sie muss gelebt und dokumentiert werden.
Spam-Filter, Empfehlungs-Algorithmen mit geringer Auswirkung, einfache Klassifikatoren. Hier gelten keine spezifischen Pflichten aus dem AI Act — aber die allgemeinen Pflichten (DSGVO, Schulung Art. 4) greifen weiterhin.
Unser AI Governance Programm
Wir nehmen den AI Act nicht als Bremse, sondern als Strukturhilfe. Vier Bausteine, die wir in 8 bis 12 Wochen mit Ihnen aufbauen — pragmatisch, ohne Bürokratie-Overkill.
Wir kartieren alle AI-Use-Cases, die heute in Ihrem Unternehmen laufen — sichtbar wie unsichtbar. Microsoft Copilot, Custom-Agenten, ChatGPT-Browser-Plugin der Marketing-Teams, Bewerbungs-Filter im Recruiting. Schatten-AI ist real und muss zuerst sichtbar werden.
Schulungspflicht nach Art. 4 EU AI Act. Wir bauen ein rollenbasiertes Konzept: Geschäftsleitung anders als Vertrieb anders als IT anders als Datenschutz. Mit dokumentierten Schulungs-Nachweisen, die einer Aufsichtsbehörde standhalten — nicht nur einem Klick-Häkchen.
Jeder identifizierte Use Case wird klassifiziert: verboten, hochriskant, eingeschränkt-risikobehaftet, minimal. Pro Klasse leiten wir konkrete Pflichten ab. Aus der Klassifizierung folgen die Maßnahmen — vom Transparenz-Hinweis im Chatbot bis zur Konformitätsbewertung beim Hochrisiko-Use-Case.
Wir bauen ein Audit-Trail, das auf Microsoft Purview und Microsoft Entra ID aufsetzt. Wer hat wann welchen Agent genutzt, mit welcher Frage, welcher Antwort, welcher Datenquelle. Das ist nicht nur EU-AI-Act-Pflicht — es ist auch im Schadensfall die einzige Möglichkeit, eine Halluzination nachträglich aufzuklären.
Konkrete Compliance-Checks
Diese Liste ist nicht abschließend, aber sie zeigt die Tiefe unserer Erstprüfung. Jedes Thema wird mit Status (rot, gelb, grün), Begründung und konkreter Maßnahme dokumentiert.
Sind alle Mitarbeitenden, die mit AI-Systemen arbeiten, nachweislich geschult? Liegt eine rollenspezifische Konzeption vor? Sind die Schulungen jährlich aufgefrischt? Werden neue Mitarbeitende beim Onboarding einbezogen? Häufiges Defizit: Excel-Liste mit Klick-Häkchen, ohne inhaltliche Tiefe.
Wenn ein Mitarbeitender mit einem KI-System interagiert, muss er das wissen. Bei Chatbots, Service-Agenten, generativer KI mit Außenwirkung. Wir prüfen, ob die Hinweise eindeutig, dauerhaft und nicht versteckt sind. Häufiges Defizit: Hinweis nur in den AGB, nicht im Interface.
Microsoft 365 Copilot lässt sich auf EU-Datenresidenz konfigurieren. Wir prüfen den Tenant-Setup, die Region-Zuweisung und die Datenfluss-Logik. Häufiges Defizit: Tenant in „weltweit" konfiguriert, US-Datenfluss nicht ausgeschlossen.
Wir prüfen, ob Copilot oder Custom-Agenten auf Daten zugreifen können, die sie nicht sehen sollten. Häufige Schwachstelle: SharePoint-Sites mit „jeder im Unternehmen kann lesen", die historisch entstanden sind und heute Personalakten enthalten.
Pro Custom-Agent prüfen wir den Use Case auf EU-AI-Act-Risikoklasse. Ein internes FAQ-Bot ist meist „eingeschränkt risikobehaftet". Ein Bewerber-Vorauswahl-Agent ist hochriskant. Aus der Klassifizierung folgen die Maßnahmen — bis hin zur Empfehlung, den Agent so nicht zu bauen.
Wir prüfen, ob alle relevanten AI-Interaktionen protokolliert werden. Microsoft Purview gibt einen guten Standard her, aber er muss richtig konfiguriert sein. Häufiges Defizit: Logs aktiviert, aber nie ausgewertet — und mit Aufbewahrungsfrist 30 Tage statt 12 Monaten.
Ehrliche Abgrenzung
Wir sind keine Rechtsanwaltskanzlei. Wir sind Microsoft-Consultants mit fundierter Kenntnis des EU AI Act und seiner technischen Umsetzung. Für formaljuristische Bewertungen, für die Konformitätsbewertung mit Notified-Body-Begleitung bei hochriskanten Systemen, für vor-Ort-Audits durch eine Aufsichtsbehörde verweisen wir an spezialisierte Kanzleien aus unserem DACH-Partner-Netzwerk.
Was wir aber leisten: Eine pragmatische, technisch fundierte AI-Governance, die zum Microsoft-Stack passt — Copilot, Copilot Studio, Microsoft Purview, Microsoft Entra ID. Wir beraten, dokumentieren, schulen. Den juristischen Stempel setzt am Ende eine Kanzlei, mit der wir gemeinsam an einem Tisch sitzen.
Häufige Fragen
Die EU-Verordnung 2024/1689 unterscheidet vier Risikoklassen: verbotene Praktiken (Art. 5), hochriskante Systeme (Anhang III), eingeschränkt-risikobehaftete Systeme mit Transparenzpflicht und minimales Risiko. Seit Februar 2025 gilt die KI-Schulungspflicht nach Art. 4 für alle Unternehmen, die KI-Systeme nutzen oder bereitstellen. Ab August 2026 greift der vollständige Bußgeld-Rahmen für hochriskante Systeme.
Ja. Die Schulungspflicht aus Art. 4 EU AI Act gilt für jede Organisation, die KI-Systeme nutzt — unabhängig davon, ob sie sie selbst entwickelt oder als Service einkauft. Wer Microsoft 365 Copilot, ChatGPT Enterprise oder Custom-Agenten einsetzt, muss seine Mitarbeitenden nachweislich schulen. Die Tiefe richtet sich nach Rolle und Risikoklasse des Systems.
Der EU AI Act sieht Bußgelder von bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes vor — abhängig vom Verstoß und vom Unternehmenstyp. Verstöße gegen die Bestimmungen zu hochriskanten Systemen ziehen den höchsten Rahmen. Verstöße gegen Transparenz- oder Schulungspflichten liegen niedriger, sind aber ebenfalls signifikant.
Anhang III des EU AI Act listet die Hochrisiko-Bereiche auf — darunter HR-Vorauswahl, Bonitätsprüfung, biometrische Identifikation, kritische Infrastruktur und Bildungs-Bewertung. Wer einen Copilot-Studio-Agenten in einem dieser Bereiche einsetzt, muss strenge Compliance-Anforderungen erfüllen.
Für mittelständische Unternehmen kalkulieren wir einen Festpreis-Rahmen — abhängig von Anzahl AI-Use-Cases, Größe der Organisation und Tiefe der Schulungs-Konzeption. Größere Organisationen mit eigenen Modell-Entwicklungen kalkulieren wir individuell.
Ein typischer Programm-Lauf dauert 8 bis 12 Wochen — Risiko-Inventur in den ersten zwei Wochen, Klassifizierung und Schulungs-Konzept-Entwicklung parallel, dann Roll-out der Schulungen und Aufbau des Audit-Trails. Das Ergebnis ist ein dokumentiertes AI-Governance-Framework, das jährlich überprüft wird.
Nein — und das sagen wir explizit. Wir sind Microsoft-Consultants mit fundierter Kenntnis des EU AI Act und seiner technischen Umsetzung. Für formaljuristische Bewertungen, Konformitätsbewertungen mit Notified-Body-Begleitung und vor-Ort-Audits empfehlen wir spezialisierte Kanzleien — wir arbeiten mit drei festen Partnern in DACH zusammen.
30 Min · vertraulich · ohne Verpflichtung
Wir hören uns Ihre Lage an, machen eine erste Risiko-Einschätzung Ihrer aktiven AI-Use-Cases und sagen Ihnen ehrlich, wo der größte Handlungsbedarf liegt — bevor die Aufsichtsbehörde fragt.
Begleitende Dienstleistungen
Engineering-Projekte stehen selten allein — Lizenz-Logik, Architektur-Klärung, Quality-Gates, Wissens-Transfer und Folge-Betrieb laufen meistens parallel. Hier die häufigsten Begleitleistungen, die wir in Discovery-Spike, Sprint-Festpreis oder Application-Care-Verträgen zubuchen.
Vorab · Architektur
Bevor implementiert wird: Tenant-Struktur, Datenmodell, Sicherheitskonzept, Integration-Mapping. Ergebnis ist ein Architektur-Dokument, mit dem jedes Engineering-Team weiterarbeiten kann — auch ein anderes als wir.
Ansehen →
Vorab · CSP
Welche Lizenz-Bundles für welche User, welche Add-on-SKUs notwendig sind, wo Sie über- oder unterlizenziert sind. Als Microsoft Lizenzierungspartner bezogen — mit der Option, CSP nur als Kontrolle ohne Margenmaximierung zu nutzen.
Ansehen →
Während · Quality-Gate
Unabhängige Zweit-Meinung während eines laufenden Implementations-Projekts — egal ob wir es selbst durchführen oder ein anderer Partner. CMMI-basierte Quality-Gates, Risk-Reviews, Festpreis pro Gate.
Während · Adoption
Nicht der klassische 2-Tage-Workshop, der nach einer Woche vergessen ist — sondern ein dynamisches Lernprogramm über 4–6 Wochen mit Erstschulung, Anwendungsphasen und Aufbau-Sessions. Schulungs-Matrix für Rollen und Themen.
Ansehen →
Danach · Betrieb
Nach Go-Live: planbarer Application-Care-Vertrag mit Monatspauschale, SLA-basiert. Inklusive Releases, Hotfixes, Erweiterungen, Tenant-Hardening — und kontinuierlicher Begleitung statt nur Reaktion auf Ticket.
Ansehen →
Danach · Wissen
Wenn die ursprünglichen Entwickler weg sind, der Vorgänger-Partner nicht mehr greifbar oder die Dokumentation veraltet — Reverse Engineering der bestehenden Lösung mit dokumentiertem Ergebnis: Code-Map, Datenmodell, Customization-Inventar.
Ansehen →
